java中preparedstatement为什么可以防止sql注入?不知道楼主用没有用过 select * from tab_name where name= "" name "" and
java中preparedstatement为什么可以防止sql注入?
不知道楼主用没有用过
select * from tab_name where name= "" name "" and passwd="" passwd ""
把其(qí)中passwd换成 [" or "1" = "1] 这样就可以完成sql注入
更有可能对你的《de》数据库表drop操作
如果使用prepareds澳门威尼斯人tatement的话就可以直接使用(pinyin:yòng)预编译,PreparedStatement不允许在插入时改变查询的逻辑结构.
举例lì
statement
passwd就可以《拼音:yǐ》换成 ‘ or "1"="1
Statement stmt = con.createStatement()
ResultSet rs = stmt.executeQuery(sql)
PreparedStatement pst = con.prepareStatement(sql)
pstmt.setString(1, name)
ResultSet rs = pstmt.executeQuery()
本文链接:http://21taiyang.com/Business-Operations/22637269.html
通tōng 用防sql注入函数java版转载请注明出处来源
